IAM 프로젝트에서 피해야 할 8가지

“사용자, 허가된 활동이 무엇인지 신속ㆍ정확하게 검증할 수 있어야”

지난 장에서는 ‘성공적인 IAM 구현의 5가지 열쇠’라는 주제로 베스트 프랙티스 다섯 가지를 소개했다. 이번 장에서는 성공적인 IAM 구현에 있어, 걸림돌이 되는 장애물 및 컴플라이언스 요구사항이 무엇인지에 대한 내용을 담았다. 아울러 다음 장부터는 IAM 프로젝트 성공적 수행을 위한 베스트 프랙티스 다섯 가지를 개별적으로 자세하게 소개하도록 한다. - 편집자 주 -

■ 비즈니스 인에이블러이자 컴플라이언스 요구사항

효과적인 IAM 솔루션은 어느새 기업들이 꼭 갖춰야 할 필수 요소로 자리잡아가고 있다. 기업 시스템에 액세스하고자 하는 사용자가 누구인지, 또 그들에게 허가된 활동은 무엇인지 신속하고 정확하게 검증할 수 있는 역량은 기업의 비즈니스를 가능케 하는 비즈니스 인에이블러이자 핵심적인 컴플라이언스 요구사항이기 때문이다.

IAM은 전자상거래 웹사이트가 효과적인 고객 지원을 제공하고 목표 고객들을 대상으로 맞춤형 영업 활동을 전개할 수 있게 해준다. IAM은 인터넷 뱅킹이나 각종 서비스 제공에 필수적일 뿐 아니라, 고객의 구매 이력을 기초로 고객이 구매할만한 상품을 제안하는 유통업체의 사이트에도 꼭 필요하다. 그런가 하면, IAM은 기업들이 비즈니스 파트너나 공급업체 및 고객들에게 네트워크를 개방하여 공급망 합리화에 필요한 정보를 보다 효과적으로 교환할 수 있게 해준다. 그와 동시에 IAM은 신입사원이나 계약직 직원, 비즈니스 파트너들이 각자의 업무에 필요한 애플리케이션에 보다 신속하게 액세스할 수 있게 해주며, 기업들이 직원들의 역할 변화에 따라 직원들의 액세스 권한도 손쉽게 변경할 수 있도록 도와준다.

또 효과적인 계정(ID) 관리는 허가된 담당자만이 의료 기록을 조회할 수 있도록 규정한 HIPAA, 회계 금융 정보에 대한 처리 요건을 규정한 SOX(Sarbanes Oxley) 같은 다양한 정부 규제를 준수하는 데에도 도움이 된다.

■ 성공적인 IAM 구현을 가로막는 장애물

하지만 불행히도 IAM 구현 성과가 당초의 기대에 못 미치는 경우가 적지 않다. 일반적으로 보안은, 특히 IAM은 기업의 핵심 IT 인프라와 비즈니스 프로세스는 물론이고 사실상 기업의 모든 최종사용자와 사용자 그룹에까지 영향을 미치는 분야이다. 다음 그림에서 제시한 바와 같이 기업 내부 및 외부의 다양한 참가자들이 각자 보안책임에 관여하고 있다.

 

▲ 기업 조직 안팎으로 적용되는 보안책임. 다양한 참가자들이 기업 조직의 안팎에서 보안책임에 관여하고 있다.

 

말 그대로 모든 사용자가 IAM의 영향을 받는 셈이다. 기업의 네트워크를 이용하는 사용자는 누구나 ID를 가지고 있고 이들의 ID는 어떤 식으로든 관리되고 검증되어야 하기 때문이다. 따라서 IAM은 기존의 비즈니스 환경과 보안 환경에 대한 철저한 이해 및 장차 원하는 보안 목표에 대한 명확한 비전을 필요로 한다.

이와 같은 난제들을 감안할 때, IAM 프로젝트에는 상당한 수준의 전문적인 기획 능력과 프로젝트 관리 능력이 필요하며 기업 내의 다양한 이해관계자를 대표할 수 있는 프로젝트 팀이 구성되어야 한다는 것은 자명한 사실이다.

특히 가장 중요한 것은 여타의 대규모 IT 프로젝트와 마찬가지로, IAM 프로젝트도 고위경영진의 강력한 후원이 필요하다는 점이다. IAM이 제공하게 될 비즈니스 편익에 대해 누구보다 경영진이 잘 알고 있어야 한다. 또, 프로젝트에 관여하는 모든 이들이 IAM 솔루션의 잠재력을 최대한 발휘하기 위해서는 구현 작업이 완료된 후에도 지속적인 관심과 유지관리가 필요하다는 사실을 이해해야 한다. 다시 말해, 구현 이후의 후속 최적화를 위한 계획 수립이 필수적이다.

■ IAM 프로젝트에서 피해야 할 8가지

CA는 다년간의 경험을 통해 IAM 프로젝트의 실패 사례와 실패 요인도 적지 않게 보아왔다. 다음은 IAM 프로젝트 담당자가 빠지기 쉬운 8가지 함정으로, 항상 이에 유의해야 한다.

▲ 무계획

지금 당장 IAM 솔루션을 선정해서 설치하고 싶은 유혹을 떨치기가 쉽지 않다. 그러다 보면 전사적인 계획이나 경영진의 지원도 확보하지 못한 채 프로젝트를 시작하게 된다.

▲ 잘못된 시각

많은 기업들이 보안 기술을 비즈니스 인에이블러(business enabler)가 아닌 필요악쯤으로 여긴다. 이와 같은 시각으로는 IAM이 제공할 수 있는 편익을 파악하기가 어렵고, 그 가치를 실현하는 데 필요한 조직적 지원과 자원을 확보하기도 쉽지 않다.

▲ 프로세스 간과

관련된 프로세스에 대한 고민 없이 IAM 기술을 구현할 경우, 결함이 있는 프로세스를 자동화하는 헛수고만 하게 될 수도 있다.

▲ 한꺼번에 너무 많은 것을 구현하려는 과욕

IAM 프로젝트는 관리가 용이한 소규모 구현 단계로 나누어 수행해야 한다. 이를 통해 각 구현 단계별로 비즈니스 가치를 추가할 수 있다.

▲ 후속 관리 소홀

추가 가치를 극대화하기 위한 지속적인 최적화 노력 없이는 IAM 솔루션의 가치를 100% 활용할 수 없다. 그런데도 일단 IAM 설치 작업이 완료된 후에는 지속적으로 주의를 기울이고 유지관리 하는 데 소홀한 기업들이 너무나 많다.

▲ 조직 구성원 배제

IAM 프로젝트는 기업의 모든 구성원에게 가치를 제공해야 하며, 구성원들도 그 사실을 알아야 한다. 따라서 모든 구성원이 각자의 업무와 연관된 IAM의 가치를 이해해야 한다.

▲ 교육 부족, 교육 시기 지연

IT 담당자들은 구현 계획을 수립하기에 앞서 IAM 솔루션에 대해 철저하게 이해해야 한다. 잘 알지 못하는 기술에 대해 효과적인 구현 계획을 수립할 수는 없다.

▲ 프로젝트위원회 내의 IT 담당자 부족

프로젝트운영위원회가 비즈니스 관리자들 위주로 구성될 경우, 부서별 이해에 밀려 프로젝트가 마비될 수도 있다. 따라서 프로젝트 팀의 3분의 2 정도는 실제로 구현 업무를 담당할 IT 인력으로 채워져야 한다.

[글ㆍ조상원 한국CA 기술부 차장, Sangwon.cho@ca.com]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>